Лучшая OS для безопасности: сравнение титанов

[maslyaev]

В Kodachi весь трафик принудительно проходит через VPN, затем через сеть Tor с DNS шифрованием. (VPN уже преднастроен и к тому же он бесплатный).

Этот преднастроенный бесплатный сервер VPN физически находится в АНБ или на Лубянке?

предоставляет надежную, контр криминалистическую анонимную/безопасную операционную систему

А, понятно.

[mr_tron]

Автор путает анонимность и безопасность. Ну или имеется ввиду безопасность «чтобы по айпи не вычислили и пальцы не переломали». Заголовок должен быть «лучшие ос для анонимности». А так, говоря о вхуниксе, нельзя не вспомнить о qubes os. Это та ос, где вхуникс смотрится на своём месте, как составная часть.

[EvgenySbl]

Добрый день! Подскажите пожалуйста, какую ОС можно считать безопасной? Можно конечно начать с (B)LFS, но хотелось бы готовый продукт, а не собирать все с нуля. Кроме того не факт что глаз не замылиться и не пропустишь что то что является важным. Да и гарантировать невмешательтво в аппаратуру я не имею возможности. Я не о Intel ME и подобных технологиях, а о физическом доступе к системе.

Если что, программист встраиваемых систем, как устроены сетевые атаки, или атаки на приложения а так же методы защиты, вроде стековых канареек, битов защиты памяти знаю. С iptables на ты.

В идеале, хотелось бы собирать код с использованием компиляторов и кросс-компиляторов. Отлаживать продукты. Сталкивался с множественными атаками, связанными с физическим MITM и даже подменой оборудования. По этому, идельный вариант, это то что грузится с неизмениямого образа, и сохраняет данные на Flash. Flash, можно шифровать, но мне важнее целостность, т.е. подсчет контрольных сумм (md5, sha1). Работаю не на военных, но была ситуация с целенаправленными атаками продолжающимися несколько лет. Очень похоже на RedTeam. Был и ноутбук с bitlocker, и много чего еще. Знаю что мой текущий ноутбук загружется с стевой карты, возможно поменяли микросхему BIOS(UEFI) и используют PCI-E устройство как носитель при загрузке. Но против лома, как говориться нет приема. Я не Рокфеллер чтобы постоянно менять устройства, и пересобирать ОС у меня нет времени. Со второй проблемой разберусь, подскажите какую ОС выбрать? Можно конечно что-то совсем неклассическое, вроде WindRiver Linux. Но, боюсь, частнику такое не потянуть по деньгам, ломаное ПО я не ставлю и кроме того если нет техподдержки или нет доверия к продукту, сразу терятся смысл. Т.е. как видете, несмотря что хотелось бы для себя, подход серьезный, как и давление. Что касается сети, даже подумыал скачать полностью базу Ripe, локализовать DNS с использованием базы + множественных запросов с использованием шифрованного DNS. Когда то давно, уже писал браузер-тест под Android, который позволял логировать все что можно, и перехватывал все запросы к сети. Т.е. WebKit + свой "wget" с сохранением сертификатов, трафика. Разрабатывалось для Qualinet Systems. Видимо, нужно опускаться до такого уровня... хотя это уже порядком надоело.

А началось с того, что еще 10 назад, тормозили видео-ролики по WiFi. Думал, в чем дело. Я не думал что столкнусь с атаками, но полагаю кто то Reaver-использовал или нечто подобное, потом и в помещение проникали. Для них я идепльное подставное лицо был. Т.е. embedder, который обладает навыками реверс-инжиниринга, да еще и проекты такого рода были + интересовался безопасностью, но со стороны защиты.

[Doctor5772]

В списке, вероятно, не хватает Gentoo Hardened, он вроде как тоже относится к «дистрибутиву для безопасности» (не для «анонимности»). Знающие данную тему, расскажите пожалуйста о плюсах и минусах данного дистрибутива.

[Ronald_Riley]

Речь о совершенно разных вещах. Тут человек пытался писать, пусть и очень-очень плохо, о дистрибутивах для анонимности, а Gentoo Hardened это попытка увеличить псевдобезопасность. Разные вещи и друг к другу не имеют отношения

[Doctor5772]

Не спорю, безопасность при работе в сети важна. Но тут есть пересечение с безопасностью хранения данных и запуском отдельных приложений, из описания QubesOS. Так что автор темы смешал и сетевую безопасность, и безопасность на конкретных устройствах\виртуальных машинах.

[Ronald_Riley]

А автор просто не понимает о чем пишет, потому Qubes OS и свалил в общую кучу. К сожалению Йоанна Рутковска ушла из созданного ей же проекта, так что у проекта нет будущего.

[mr_tron]

Не Рутковски единой живы кубесы. Вроде развиваются и без неё, хотя пока рано судить.

[Ronald_Riley]

Ну конечно не Рутковски единой, но все же Йоанна — сильнейший специалист и ее уход сильный удар по проекту. Хотя у меня к проекту давно были вопросы(и два главных из них это «Ну почему, елки-палки, rpm-ад?» и «Ну зачем же ужасы KDE?»). Но, в любом случае, пожелаем им удачи.

[Sn0WLi9ht]

Gentoo Hardened на сколько я знаю перестал разрабатываться.

[JerleShannara]

Он не перестал, перестали разрабатывать hardened-sources ядро, по причине того, что в паблике его не стало.

[Sn0WLi9ht]

Тогда в чем фишка? Можно Gentoo Hardened с современным ядром как-то поставить?

[JerleShannara]

stage3 вроде как собраный с усилениями безопасности, gcc с усилением безопасности, выставленый флаг hardened у каких-то пакетов.

[saipr]

А чем ответят наши отечественные форки от Linux, на которых зиждется импортозамещение?

[Ronald_Riley]

А у вас есть форки ядра Linux? Мне казалось, что бюджетных денег в РФ хватает только на множественные пересборки Debian, как дистрибутива, а никаких ФОРКОВ Linux у вас нет, не было и не будет.
Можете подробней рассказать про ваши форки ядра Linux? Думаю всем будет интересно услышать.

[ValdikSS]

Отечественные крутые ОС есть, например, Астра Линукс. Грамотное разделение привилегий, мандатный контроль всего что только можно.

[gaidukav]

В Астре только и есть «Грамотное разделение привилегий, мандатный контроль всего что только можно». Пользоваться этой осью обычному пользователю невозможно, ну типа документы/таблицы/бровзер/электропочта — это все работает из рук вон плохо. Совместимость с «внешним, не импортозамещённым» миром ниже плинтуса, функциональность никакая.
Про другие «импортозамещённые» линуксы аналогичная история, в большинстве случаев это новые нескучные обои и поломанный функционал оригинальных дистрибутивов, из которых выросло это изделие.
Про собственные репозитарии с обновлениями — нет гарантии что они будут работать через пол года.

[McDermott]

Про собственные репозитарии с обновлениями — нет гарантии что они будут работать через пол года.

Когда я летом этого года имел дело с Астра Линукс, репозитории производителя не работали совсем.

[Andrusha]

Если речь про Special Edition, то это так и задумано :)

[McDermott]

Как это? Производитель поставляет операционную систему, в которой невозможно скачать дополнительные компоненты или обновить существующие из безопасных источников производителя? Сторонние репозитории добавились и работали.

[Andrusha]

Особенности сертификации этой редакции дистрибутива. Все обновления и дополнительные пакеты только с поставляемых образов дисков. В обычном издании должно всё работать.

[McDermott]

Интересная информация, спасибо. Но, если это и было задумано, то реализовано очень плохо — с другого, «потенциально опасного», репозитория пакеты устанавливались.

[Andrusha]

Я не думаю, что разработчики ставили цель всеми силами помешать ставить сторонние пакеты. Просто вы, воспользовавшись сторонним репозиторием, нарушили условия сертификации, и теоретически кому-то за это может впоследствии влететь. Практически, думаю, всем пофиг.

[dakulinichev]

У Special Edition другая задача и задумка, она сертифицирована под работу с мандатными метками и грифом до «сс» включительно, как правило под неё спец по разрабатывает конечный пользователь. А все что теоретически может понадобиться — на диске с дистрибутивом есть. Особенно ответственно подошли к развлечениям, теперь у какого нибудь дежурного целых 18 видов пасьянса есть)

[Ronald_Riley]

И давно пересобранный скриптом старый Debian стал «отечественной ОС»? Ну мне просто интересно.

[JerleShannara]

Пруфы будут?

[Ronald_Riley]

На то, что Astra — пересобранный Debian?
astralinux.ru вот тебе пруф
Скачиваешь и убеждаешься. Елки-палки, пока еще никто и не пытался выдавать Астры и прочие Росы за собственное, они не скрывают, что это — пересборка настоящих дистрибутивов и что можно подключить оригинальные репы. То есть к Астре можно подключить репы от Дэбиана, все будет ставится и работать, потому что Астра это всего лишь пересборка Дэбиана с изменением названий и перешибанием копирайтов. НИЧЕГО своего там никогда не было.

habr.com/post/432798/?reply_to=19491272#comment_19491154
Говорит о том же.

[Andrusha]

НИЧЕГО своего там никогда не было.

Расскажите, у кого они утащили FLY Desktop, раз уж так разбираетесь в теме.

[JerleShannara]

Ой, а как мне оттуда скачать релиз «Смоленск», CE мне совершенно неинтересен?

[dakulinichev]

Попросить на тестирование релиз смоленск, версии 1.6. Он не прошёл сертификацию ещё и его направо и налево раздают всем страждущим. support@astralinux.ru — пишите письма )

[saipr]

В чем же эта крутизна у Астры Линукс, в частности. Назовите хоть один отечественный продукт, включенный в Астру. Да, товарищи ниже все уже написали. Даже смешные плюхи не исправлены. Какие? Вот первая, а вот и вторая. Я уж не говорю про поддержку отечественной криптографии.

[saipr]

Это надо к производителям Астры, Альта, Росы, да много чего там… Весь алфавит

[Ronald_Riley]

1. Альт — независимый дистрибутив
2. Астры, Росы, МСВСы — пересоборки Debian и CentOS(кто чего)

Но никто из них не является форком Linux(это такое ядро), а всего лишь являются дистрибутивами ОС на базе ядра Linux. Никаких форков Linux среди них не замечено.

[saipr]

Никаких форков Linux среди них не замечено.

А что же в них есть? В этих импортозаместителях, подскажите

[bbasil]

Не понятно, речь про анонимность или речь про безопасность.
Если про первое, то следует рассматривать именно программные продукты обеспечивающие это, а не OS.
Если про второе, то какое отношение это имеет в Linux? и почему не были рассмотрены другие OS не базирующиеся на ядре Linux.
Либо следует исправить заголовок на «Лучший дистрибутив Linux для безопасности: сравнение титанов»

[selivanov_pavel]

+1, я прочитав заголовок ожидал увидеть сравнение Linux/OpenBSD/QNX, а не дистрибутивов одного и того же Linux.

[igrblkv]

… дистрибутивов одного и того же Debian Linux.

[Tangeman]

Безопасность — это не продукт, а процесс. Простите за банальность.

[unseriously]

Нубский вопрос в тему: возможно ли как-то на убунте ходить в интернет, чтоб посещенные сайты не были видны никому (в частности системному администратору) — ничего серьезного или незаконного, просто хочу ходить в инет, но чтоб никто этого не видел. Достаточно ли для этого будет браузера Тор? Или для моего случая нужно использовать как раз один из вышеперечисленных дистрибутивов?